Krajobraz Zagrożeń 05-11/03/2026

cert.orange.pl 8 godzin temu

W najnowszym wydaniu Krajobrazu Zagrożeń przyglądamy się operacjom grupy APT28 wymierzonym w platformy webmail pokazującym, iż kompromitacja komunikacji organizacji może być równie cenna dla operacji wywiadowczych jak przejęcie całej infrastruktury IT. Analizujemy także nową kampanię socjotechniczną określaną jako InstallFix, w której atakujący wykorzystują popularny model instalacji narzędzi programistycznych typu curl-to-bash, aby nakłonić użytkowników do samodzielnego uruchomienia złośliwego kodu. W części poświęconej cyberprzestępczości omawiamy natomiast skutki ataku ransomware na szpital wojewódzki w Szczecinie, który pokazuje jak realne konsekwencje mogą mieć cyberataki wymierzone w instytucje publiczne. Razem te trzy przypadki dobrze ilustrują współczesny krajobraz zagrożeń – w którym celem ataków jest nie tylko infrastruktura techniczna, ale przede wszystkim dane, komunikacja i zaufanie użytkowników.

Na skróty:

  1. Zaawansowane zagrożenia: Webmail jako cel ataku: operacje APT28 przeciwko Roundcube.
  2. Oszustwa i podszycia: Kopiuj, wklej, zainfekuj: kampania InstallFix wymierzona w użytkowników Claude Code.
  3. Cybercrime: Ransomware w szczecińskim szpitalu.

Zaawansowane zagrożenia

Webmail jako cel ataku: operacje APT28 przeciwko Roundcube.

W ostatnich latach operacje prowadzone przez grupę APT28 coraz wyraźniej koncentrują się na kompromitowaniu systemów komunikacyjnych instytucji publicznych – w szczególności platform webmail. Grupa ta, znana również jako Sednit, Sofacy lub Fancy Bear, od wielu lat prowadzi operacje cyberszpiegowskie ukierunkowane na instytucje rządowe, wojskowe oraz sektor obronny państw NATO i Europy Środkowo-Wschodniej. Jednostka ta jest powszechnie wiązana z rosyjskim wywiadem wojskowym GRU i pozostaje jednym z najbardziej aktywnych aktorów prowadzących operacje cyberwywiadowcze. Jednym z najczęściej atakowanych systemów w tych kampaniach jest Roundcube – popularny open-source’owy klient webmail szeroko wykorzystywany w administracji publicznej i organizacjach rządowych.

W przeciwieństwie do klasycznych ataków na stacje robocze, kompromitacja interfejsu webmail umożliwia uzyskanie bezpośredniego dostępu do komunikacji organizacji bez konieczności instalowania złośliwego systemu w infrastrukturze ofiary. Wystarczy jedynie wykonanie kodu w kontekście przeglądarki użytkownika, aby przejąć dostęp do skrzynki pocztowej i jej zawartości.Skrzynki pocztowe zawierają nie tylko bieżącą komunikację, ale także archiwalne rozmowy, dokumenty, listy kontaktów oraz metadane pozwalające odtworzyć relacje pomiędzy osobami i instytucjami. Uzyskanie dostępu do jednego konta może więc umożliwić mapowanie całej sieci kontaktów organizacji, identyfikację kolejnych celów oraz prowadzenie dalszych operacji spear-phishingowych z wykorzystaniem przejętej tożsamości.

Nowe światło na metody działania tej grupy rzuca analiza operacji określanej jako Roundish (przez Hunt.io), w której ujawniono kompletny zestaw narzędzi wykorzystywanych do kompromitowania instancji Roundcube. Analiza infrastruktury była możliwa dzięki błędowi operatorów kampanii, którzy pozostawili publicznie dostępny katalog (tzw. opendir) na jednym z serwerów wykorzystywanych w operacji. Katalog ten zawierał pełny operacyjny zestaw narzędzi, w tym exploity XSS, serwer C2, moduły eksfiltracji danych oraz artefakty pozostawione przez operatorów. Zestaw obejmował ponad 60 plików i kilkadziesiąt katalogów zawierających zarówno wersje rozwojowe, jak i produkcyjne złośliwego oprogramowania, co pozwoliło prześledzić proces tworzenia i testowania narzędzi wykorzystywanych w kampanii.

Rys. 1. Fragment zawartości serwera wykorzystywanego w kampanii Roundish; źródło: hunt.io.

Jednym z ważniejszych, zidentyfikowanych w kampanii exploitów był złośliwy skrypt JavaScript wykorzystywany w ataku typu XSS na interfejs webmail Roundcube. Celem jego nie było bezpośrednie przejęcie serwera, ale uzyskanie dostępu do danych użytkownika poprzez przejęcie sesji webmaila w przeglądarce ofiary.

Po uruchomieniu w przeglądarce zalogowanego użytkownika działa on w kontekście jego sesji, co pozwala napastnikowi wykonywać operacje w skrzynce pocztowej tak, jakby był samym użytkownikiem. Skrypt rozpoczyna działanie od identyfikacji konta ofiary poprzez zmienną środowiskową Roundcube (rcmail.env.username) oraz nawiązania komunikacji z serwerem kontrolowanym przez operatorów ataku, do którego przesyłane są zebrane dane.

Jednym z kluczowych elementów kodu jest mechanizm przechwytywania zapisanych w przeglądarce danych logowania. Skrypt tworzy w ukryciu pola formularza username i password z włączonym mechanizmem autouzupełniania, co powoduje automatyczne wstawienie zapisanych w przeglądarce poświadczeń. Po pierwszej interakcji użytkownika ze stroną dane te są odczytywane, kodowane i przesyłane do infrastruktury napastnika.

Kod implementuje również mechanizm utrzymywania dostępu do korespondencji poprzez automatyczne przekierowanie poczty. W tym celu pobierany jest dodatkowy moduł JavaScript, który tworzy w konfiguracji Roundcube regułę przekierowania wszystkich przychodzących wiadomości na adres kontrolowany przez operatorów kampanii. Dzięki temu napastnicy mogą przez cały czas otrzymywać kopie wiadomości choćby po zmianie hasła przez użytkownika.

Rys. 2. Kod exploita wykorzystywanego w atakach użytkowników Roundcube; źródło: hunt.io.

Istotną funkcją skryptu jest także masowa eksfiltracja zawartości skrzynki pocztowej. Wykorzystując wewnętrzne endpointy Roundcube, kod pobiera listę wiadomości z folderów Inbox i Sent, a następnie zapisuje je w formacie .eml i przesyła na zewnętrzny serwer. Dodatkowe moduły odpowiadają za kradzież książki adresowej oraz pozyskanie danych uwierzytelniania dwuskładnikowego (2FA).

W rezultacie exploit umożliwia napastnikom szybkie uzyskanie pełnego wglądu w komunikację ofiary – od danych logowania, przez historię korespondencji, po kontakty i sekrety uwierzytelniania. Połączenie tych mechanizmów wskazuje, iż głównym celem operacji jest długotrwałe pozyskiwanie informacji wywiadowczych z kompromitowanych kont pocztowych.

Analiza najnowszej operacji Roundish wskazuje na wyraźną kontynuację wcześniejszej kampanii Operation RoundPress, opisanej przez badaczy ESET. W obu przypadkach grupa APT28 wykorzystuje podatności typu XSS w platformach webmail – przede wszystkim Roundcube – w celu uruchomienia złośliwego kodu JavaScript w kontekście zalogowanej sesji użytkownika. RoundPress koncentrował się na wykorzystaniu podatności XSS w różnych platformach webmail, takich jak Roundcube, Horde, MDaemon czy Zimbra. Złośliwy kod – określany jako SpyPress – był dostarczany najczęściej w wiadomościach spear-phishingowych zawierających specjalnie przygotowany kod HTML. Po otwarciu wiadomości przez ofiarę skrypt wykonywał działania wywiadowcze w kontekście sesji webmail, obejmujące przechwytywanie danych logowania, zbieranie kontaktów oraz eksfiltrację wiadomości e-mail z konta użytkownika.

Nowa operacja Roundish rozwija ten model działania, dostarczając bardziej rozbudowany toolkit przeznaczony do eksploatacji Roundcube. Analiza ujawnionego katalogu na serwerze infrastruktury atakujących pokazała pełen zestaw narzędzi wykorzystywanych w kampaniach. Kluczowym programem zestawu jest złośliwy skrypt JavaScript wykonywany w przeglądarce użytkownika po otwarciu zainfekowanej wiadomości w Roundcube (opisany w szczegółach powyżej). Roundish rozszerza również zestaw technik obserwowanych w RoundPress o nowe elementy. Wśród nich znajduje się m.in. moduł wykorzystujący CSS-based side-channel attack, umożliwiający stopniowe odczytywanie wartości elementów DOM (np. tokenów CSRF) bez bezpośredniego wykonywania kodu JavaScript w kontekście strony. W infrastrukturze operatorów zidentyfikowano także komponenty służące do kradzieży danych z przeglądarek oraz implant dla systemów Linux napisany w języku Go, zapewniający trwałość poprzez mechanizmy cron, systemd oraz modyfikację polityk SELinux.

Analiza infrastruktury kampanii potwierdza również jej wyraźne ukierunkowanie na cele rządowe w Ukrainie. Jednocześnie infrastruktura operacyjna obejmowała dodatkowe węzły wykorzystywane do pivotingu i tunelowania ruchu, w tym hosty w chmurze Oracle oraz serwery służące jako punkty stagingowe dla dalszych operacji. Zestawienie obserwowanych technik wskazuje, iż Roundish stanowi ewolucję narzędzi wykorzystywanych wcześniej w kampanii RoundPress, zachowując podstawowy model kompromitacji webmaili, ale rozszerzając go o bardziej zaawansowane mechanizmy pozyskiwania danych i utrzymywania dostępu. Wspólny zestaw technik – m.in. przechwytywanie danych z menedżerów haseł przeglądarki, tworzenie reguł przekierowania poczty czy eksfiltracja wiadomości poprzez API Roundcube – wskazuje na wspólne pochodzenie obu zestawów narzędzi i ich powiązanie z operacjami prowadzonymi przez APT28.

W rezultacie kompromitacja webmaila pozwala napastnikom osiągnąć jeden z kluczowych celów operacji wywiadowczych – długotrwały dostęp do komunikacji strategicznych instytucji. Kampanie takie jak RoundPress i Roundish pokazują, iż APT28 konsekwentnie rozwija zestaw narzędzi umożliwiających przejmowanie skrzynek pocztowych poprzez podatności aplikacyjne, traktując je jako jeden z najefektywniejszych wektorów pozyskiwania informacji. W nowoczesnych operacjach cyberwywiadowczych kontrola nad komunikacją organizacji – choćby osiągnięta jedynie poprzez kompromitację interfejsu webmail – może być równie cenna jak pełny dostęp do jej infrastruktury informatycznej.

Więcej informacji:
https://hunt.io/blog/operation-roundish-apt28-roundcube-exploitation
https://www.welivesecurity.com/en/eset-research/operation-roundpress/

Oszustwa i podszycia

Kopiuj, wklej, zainfekuj: kampania InstallFix wymierzona w użytkowników Claude Code.

Kampania wymierzona w użytkowników Claude Code nie wykorzystuje żadnej luki w oprogramowaniu, nie wymaga kliknięcia w podejrzany link ani uruchomienia załącznika – atak opiera się na socjotechnice. Ofiary są nakłaniane do skopiowania i uruchomienia polecenia instalacyjnego z fałszywej strony dokumentacji, co powoduje pobranie i wykonanie złośliwego kodu. Mechanika ataku (kopiuj -> wklej -> uruchom) jest wariantem techniki określanej przez Push Security jako InstallFix.

Curl-to-bash

Homebrew, Rust, nvm, Bun, oh-my-zsh – lista najpopularniejszych narzędzi ekosystemu programistycznego jest długa, ale łączy je jedno, standardowa metoda instalacji to curl-to-bash. Użytkownik kopiuje ze strony projektu jedno polecenie, wkleja je do terminala i zatwierdza enterem. Bezpieczeństwo tej operacji opiera się na dwóch elementach – weryfikacji domeny źródłowej i zrozumieniu wykonywanego kodu.

Boom na narzędzia AI zmienił jednak krajobraz zagrożeń. Platformy takie jak Claude Code przyciągają teraz użytkowników bez profesjonalnego doświadczenia programistycznego – osoby, które dzięki AI mogą realizować własne pomysły techniczne, nie posiadając głębokiej wiedzy o bezpieczeństwie. Dla tej grupy skrypt instalacyjny to procedura do wykonania, nie kod do weryfikacji. Atakujący gwałtownie dostrzegli tę lukę w świadomości zagrożeń i zaczęli ją systematycznie wykorzystywać.

Mechanika kampanii

Badacze z Push Security, którzy jako pierwsi opisali kampanię w marcu 2026 roku, użyli dla tej klasy ataków termin InstallFix, który nawiązuje do popularnej techniki ClickFix, ale z jedną kluczową różnicą. ClickFix wymaga scenografii – fałszywego CAPTCHA, spreparowanego komunikatu błędu czy okna z prośbą o aktualizację. Atakujący musi wymyślić powód, dla którego użytkownik miałby cokolwiek uruchamiać. InstallFix nie potrzebuje żadnego pretekstu. Użytkownik sam z siebie chce zainstalować oprogramowanie, a fałszywa strona daje mu do tego instrukcję. Motywacja jest autentyczna, więc czujność spada.

Kampania przeciwko użytkownikom Claude Code przebiega w trzech krokach, z których każdy wygląda nieszkodliwie. Atakujący kupują reklamy w Google Ads kierowane na frazy „claude code install”, „claude code CLI” i podobne. Sponsorowany wynik pojawia się nad organicznymi wynikami, a Google skraca wyświetlany URL, ukrywając subdomenę – dodatkowa osłona dla atakującego. Kliknięcie przenosi ofiarę na sklonowaną stronę dokumentacji, gdzie znajduje się identyczny układ, ta sama nawigacja, te same przykłady poleceń, ta sama kolorystyka. Jedyna różnica to adres URL. Na tej stronie polecenie instalacyjne zamiast do serwerów Anthropic wskazuje na infrastrukturę kontrolowaną przez atakujących.

Push Security zidentyfikowało kilkanaście podobnych domen podszywających się pod Claude Code. Bitdefender, który opublikował niezależną analizę kampanii, ustalił, iż do uruchomienia fałszywych reklam prawdopodobnie wykorzystano skompromitowane konto reklamowe należące do malezyjskiej firmy – co tłumaczy, dlaczego reklamy przeszły przez systemy weryfikacji Google. Konto zostało od tamtej pory dezaktywowane.

Payload: Windows i macOS

Na Windowsie instrukcja każe użytkownikowi uruchomić polecenie odwołujące się do mshta.exe – rzeczywistego narzędzia systemowego Microsoftu służącego do wykonywania aplikacji HTML. Wybór nieprzypadkowy: mshta.exe jest podpisanym binarnym plikiem Microsoftu, jego uruchomienie nie wzbudza alertów w wielu systemach AV i EDR. Po wykonaniu na system trafia wieloetapowy payload – plik HTA rekurencyjnie deszyfruje osadzony ładunek MSIL, który ostatecznie prowadzi do shellcode. Efektem końcowym jest infostealer kradnący hasła z przeglądarek, ciasteczka sesji, tokeny uwierzytelniające i dane portfeli kryptowalutowych.

Na macOS polecenie zakodowane w Base64 uruchamia wieloetapowy skrypt zsh, który w tle pobiera binarny plik Mach-O. Po wykonaniu otwiera powłokę systemową i kanał do zdalnego sterowania maszyną. Bitdefender identyfikuje ten komponent jako backdoor zawierający elementy anty-sandboxingowe zbliżone do tych stosowanych przez AMOS Stealera. Żadnego instalatora, żadnego promptu z prośbą o hasło – malware wykonuje się cicho, a użytkownik może kontynuować pracę bez świadomości, iż cokolwiek się stało.

Skalowalność zagrożenia

Wartym uwagi aspektem tej kampanii nie jest atak na użytkowników konkretnego narzędzia, ale to, iż wzorzec jest trywialnie replikowalny. Push Security wprost wskazuje, iż każde narzędzie z wystarczającym ruchem wyszukiwarek i stroną dokumentacji zawierającą polecenie instalacyjne do skopiowania jest potencjalnym celem. Historia ostatnich tygodni potwierdza to w praktyce: fałszywe strony instalacyjne Homebrew dostarczały Cuckoo Stealera, podrobione instalatory OpenClaw były promowane przez wyniki wzbogacone przez Bing AI, a w lutym atakujący wykorzystali choćby mechanizm Artifacts na claude.ai – zanim fałszywe strony zostały usunięte, zdążyły zostać wyświetlone ponad piętnaście tysięcy razy. Każdy z tych wektorów łączy to, iż zaufanie do nazwy narzędzia jest przenoszone na kanał dystrybucji, który kontrolują atakujący.

Kampanie wymierzone w środowisko developerskie przyciągają osobną kategorię zainteresowania grup zagrożeń, co nie jest to przypadkowe. Deweloper ma zwykle podwyższone uprawnienia na własnej maszynie ze względu na naturę pracy, a jednocześnie ta sama maszyna to dostęp do repozytoriów kodu, pipeline’ów CI/CD, kluczy API do usług chmurowych, tokenów dostępowych do środowisk produkcyjnych i infrastruktury klientów. Jeden skompromitowany laptop w dziale inżynierii to potencjalny punkt wejścia do całego łańcucha dostaw oprogramowania.

Rekomendacje

To środowisko ryzyka doskonale wpisuje się w szerszy kontekst kampanii malvertisingowych, które tradycyjne mechanizmy obronne po prostu omijają. Nie ma maila phishingowego do przeanalizowania w sandboxie. Jest tylko użytkownik, który wpisał nazwę narzędzia w wyszukiwarce i zobaczył sponsorowany wynik na górze strony.

Dla użytkowników indywidualnych najskuteczniejszą obroną pozostaje świadomość, iż sponsorowany wynik w wyszukiwarce nie gwarantuje autentyczności źródła. Przed uruchomieniem polecenia instalacyjnego warto zweryfikować adres URL strony z oficjalną dokumentacją, sprawdzić certyfikat SSL i – w miarę możliwości – przeanalizować treść wykonywanego skryptu. Dla zespołów bezpieczeństwa rekomendujemy wdrożenie kontroli aplikacji, która ogranicza możliwość wykonywania niezweryfikowanych skryptów i aplikacji.

Więcej informacji:
https://pushsecurity.com/blog/installfix/
https://www.bitdefender.com/en-us/blog/labs/fake-claude-code-google-ads-malware

Cybercrime

Ransomware w szczecińskim szpitalu.

Informacje o skutecznych atakach ransomware, szczególnie na duże firmy lub istotne instytucje, zwykle docierają do mediów błyskawicznie. Upublicznienie danych, osobowych, kontaktowych lub w niektórych przypadkach wrażliwych, to jedna strona opisywanych konsekwencji tego typu ataków. Drugim dotkliwym aspektem jest niedostępność usług lub znaczące utrudnienia w ich świadczeniu, co zwykle wiąże się z chaosem i niepokojem. Odczuwalne skutki dla kontrahentów, klientów, pacjentów i petentów wiążą się z dużymi emocjami często prowadzącymido pospiesznych wniosków, poszukiwania winnych i przesadnego upraszczania problemu jakim jest ransomware. Tego typu incydent na Samodzielny Wojewódzki Szpital Zespolony w Szczecinie spotkał się właśnie z takimi reakcjami.

W nocy z 7 na 8 marca 2026 roku szczeciński szpital wojewódzki został zaatakowany ransomware. Szpital działa w trybie awaryjnym i apeluje do pacjentów o udawanie się do innej placówki w miarę możliwości, by uniknąć utrudnień i długiego czasu oczekiwania. Zaszyfrowanie danych uniemożliwiło dostęp do cyfrowej dokumentacji medycznej pacjentów i wymusiło powrót do wersji papierowej, co znacząco wydłuża każdy proces. Przybywający do szpitala na planowane hospitalizacje i wizyty proszeni są o zabieranie swojej dokumentacji medycznej w celu ułatwienia działania w tych szczególnych warunkach. Według CSIRT CeZ system gabinet.gov.pl umożliwia aktualnie wystawianie elektronicznych recept i skierowań. Częściowo dostępne usługi cyfrowe i powrót do fizycznej dokumentacji umożliwiają przyjmowanie oraz leczenie pacjentów. Szpital jest wspierany także przez wojsko.

Według oświadczenia szpitala dane dotknięte atakiem należą do pacjentów, przedstawicieli ustawowych pacjentów oraz osób upoważnionych, pracowników i kontrahentów/podwykonawców. Są to dane:

  • identyfikacyjne,
  • adresowe,
  • kontaktowe,
  • finansowe,
  • kadrowe,
  • znajdujące się w dokumentacji medycznej,
  • w ograniczonym zakresie dotyczące aresztowań lub zatrzymań ściśle powiązany z udzielanymi świadczeniami zdrowotnymi.

W ocenie znajdującej się w komunikacie istnieją wysokie ryzyka wykorzystania tych danych w sposób nieuprawniony i zaistnienia konsekwencji z tego wynikających. Możliwe są ataki phishingowe, szantaż z wykorzystaniem danych medycznych, uzyskanie pożyczek pozabankowych na podstawie numeru PESEL lub ryzyko dyskryminacji na podstawie chociażby ujawnionej płacy.

Na moment przygotowania publikacji pewny jest nieautoryzowany dostęp do danych, ale nie ich publiczna dostępność, która znacząco zwiększyłaby prawdopodobieństwo nadużyć. Mimo to, dla osób, których dane szpital przetwarzał, przedstawiono kilka możliwości skutecznego uchronienia się przed konsekwencjami tego naruszenia. Kluczowym krokiem jest zastrzeżenie numeru PESEL swojego i bliskich, którzy mogą nie potrafić zrobić tego sami. To działanie warte podjęcia niezależnie od pojawienia się naruszenia, które nas dotknęło personalnie. Ponadto wykupienie usługi alertów w BIK może zaoferować dodatkową pewność, iż dowiemy się o próbie nadużycia, o ile taka zaistnieje. W przypadku tak istotnych danych, jak dokumentacja medyczna trudno o zalecenia zupełnie eliminujące ryzyka i potencjalne konsekwencje. Warto zachować ostrożność w przypadku komunikacji powołującej się na dane, które mogły być dotknięte atakiem.

Aktualnie, żadna z grup ransomware nie przyznała się publicznie do ataku. Według oświadczenia rzecznika prasowego, atakujący zażądali zapłaty kwoty w wysokości kilku milionów dolarów za odszyfrowanie danych. Informacje takie jak data ataku, ilość pozyskanych danych, wysokość i termin płatności okupu są zwykle publikowane na DLS (data leak site) danej grupy, ale nie wydarzyło się to jeszcze w tym przypadku. Brak publicznego ogłoszenia wpisuje się w obserwowaną dysproporcję pomiędzy liczbą ataków ocenianą na podstawie informacji docierających od ofiar do mediów, a publikacjami atakujących. Może to wynikać z wybierania do publikacji jedynie ataków mogących dać grupie uznanie wśród innych cyberprzestępców lub preferencji pozostawania w cieniu, by nie przyciągać uwagi mediów do samej grupy. o ile ofiara zapłaci okup, atakujący uzyskają oczekiwany zysk finansowy, w przeciwnym przypadku mogą je upublicznić lub sprzedać na forach przestępczych, co również pośrednio doprowadziłoby do zysku. Bez publikacji na DLS może się to potencjalnie wydarzyć przy mniejszym zainteresowaniu analityków i służb samą grupą. W związku z atakiem na szpital wojewódzki, Prokuratura Okręgowa wszczęła śledztwo, które może przynieść informację o sprawcach ataku.

Mylne przekonania dotyczące ataków ransomware i ich źródeł są nieodłącznym elementem tak medialnych spraw. Pojawiające się komentarze mają zwykle tendencje do pochopnych założeń i trywializowania problemów z jakimi borykają się ofiary. Ataki na placówki publiczne i firmy są zwykle sprowadzane do udanego ataku phishingowego, gdzie winnym ma być pracownik wchodzący na złośliwą stronę lub pobierający złośliwy załącznik. Choć nie każdy atak jest szczegółowo opisywany publicznie, to na podstawie dostępnych analiz, między innymi tych publikowanych przez DFIR Report, można zauważyć, iż przyczyny są zróżnicowane. Logowanie dzięki poświadczeń z wycieku, nieograniczony dostęp do panelu logowania RDP (Remote Desktop Protocol), podatności typu RCE (Remote Code Execution) w usługach dostępnych z internetu to inne standardowo wykorzystywane przez grupy ransomware słabości umożliwiające dostęp do infrastruktury ofiary. Zdarzają się oczywiście przypadki ransomware ukrytego pod postacią pliku podszywającego się pod oprogramowanie, które miał zamiar zainstalować użytkownik.

Każdy z tych wektorów wejścia mógł być tym wykorzystanym w ataku na szpital wojewódzki, ale żaden z nich nie jest tak naprawdę pojedynczą luką łatwą w załataniu. Panaceum nie będzie także pojedyncza dotacja lub wdrożenie polityki bezpieczeństwa, do której organizacja się nie stosuje. Metody działania grup ransomware i historie ich ofiar pokazują, iż jedynie wielowarstwowa ochrona może pozwolić przede wszystkim zapobiec infekcji ransomware, ale także ograniczyć jej skutki. Należy poważnie potraktować przeciwdziałanie takim atakom, ponieważ celem może stać się każda firma i instytucja. Warto pamiętać, iż udane ataki, to pojedyncze sukcesy wśród masowych prób podejmowanych przez grupy ransomware. Działania rekonesansowe realizowane są na bardzo dużą skalę. Podatne urządzenia widoczne z sieci, ogólnodostępne panele logowania, otwarte porty na serwerach i kanały zdalnego dostępu to stałe punkty zainteresowania grup ransomware. choćby o ile za wektor wejścia można byłoby uznać phishing, to wdrożenie odpowiednich zabezpieczeń (takich jak filtr pocztowy, DNS reputacyjny i rozwiązanie EDR) mogłoby zatrzymać atak przed zaszyfrowaniem danych. o ile złośliwe oprogramowanie już pojawi się na stacji roboczej, segmentacja sieciowa i realizacja zadań przez użytkowników na koncie bez uprawnień administratora może zatrzymać propagację ransomware. Przypominamy podstawowe elementy składowe odporniejszej na ataki infrastruktury:

  • polityka i zasady bezpieczeństwa,
  • zarządzanie podatnościami,
  • aktualizacja systemu i systemów,
  • wieloskładnikowe uwierzytelnianie użytkowników,
  • logowanie zdarzeń,
  • monitoring bezpieczeństwa IT,
  • zabezpieczenia sieciowe (IPS, IDS),
  • segmentacja sieciowa,
  • ograniczone uprawnienia użytkowników,
  • backup (offline, offsite, przetestowany i aktualny).

Więcej informacji:
https://www.spwsz.szczecin.pl/news/informacje-organizacyjne-po-cyberataku-na-spwsz
https://spwsz.szczecin.pl/informacje-administratora-danych-osobowych/zawiadomienie-o-naruszeniu-ochrony-danych-osobowych
https://www.gov.pl/web/po-szczecin/wszczeto-sledztwo-w-sprawie-ataku-hakerskiego-na-infrastrukture-teleinformatyczna-samodzielnego-wojewodzkiego-szpitala-zespolonego-w-szczecinie
https://cez.gov.pl/pl/page/o-nas/aktualnosci/natychmiastowa-interwencja-csirt-cez-po-ataku-na-szczecinski-szpital
https://thedfirreport.com/category/ransomware/

Idź do oryginalnego materiału
  1. Strona główna
  2. Ransomware
  3. Krajobraz Zagrożeń 05-11/03/2026

Powiązane

INC Ransom uderza w ochronę zdrowia w Oceanii. Rosnące zagrożenie dla sektora krytycznego

INC Ransom uderza w ochronę zdrowia w Oceanii. Rosnące zagro...

16 godzin temu
USA stawiają zarzuty kolejnemu negocjatorowi ransomware powiązanemu z atakami BlackCat

USA stawiają zarzuty kolejnemu negocjatorowi ransomware powi...

16 godzin temu
Zhakowany szpital w Szczecinie zawiesza część usług

Zhakowany szpital w Szczecinie zawiesza część usług

3 dni temu
Srebro zamiast aluminium. Dlaczego jakość warstwy odbijającej decyduje o trwałości płyt optycznych

Srebro zamiast aluminium. Dlaczego jakość warstwy odbijające...

3 dni temu
Zhakowano polski szpital

Zhakowano polski szpital

5 dni temu
Termite ransomware i „Velvet Tempest”: jak ClickFix + CastleRAT łączą się z włamaniami i przygotowaniem pod ransomware

Termite ransomware i „Velvet Tempest”: jak ClickFix + Castle...

5 dni temu
Administrator Phobos ransomware przyznaje się do winy w USA: co oznacza „wire fraud conspiracy” dla ekosystemu RaaS

Administrator Phobos ransomware przyznaje się do winy w USA:...

1 tydzień temu
1,2 mln osób dotkniętych wyciekiem danych po ataku ransomware na University of Hawaiʻi Cancer Center

1,2 mln osób dotkniętych wyciekiem danych po ataku ransomwar...

1 tydzień temu

Polecane

Temat Bliskiego Wschodu zdominował media. W nagłówkach widzimy ceny ropy, anali…

Temat Bliskiego Wschodu zdominował media. W nagłówkach widzi...

37 minut temu
Zielona Góra. Bulwersująca i przykra sprawa z cmentarza, ale finał budujący

Zielona Góra. Bulwersująca i przykra sprawa z cmentarza, ale...

3 godzin temu
Co dalej z cenami paliw? Zmiany na stacjach od 16 marca. Polacy złapią się za głowy

Co dalej z cenami paliw? Zmiany na stacjach od 16 marca. Pol...

4 godzin temu
Państwowa spółka sprzedaje węgiel w super cenie! Ruszyła najbardziej wyczekiwana promocja roku 2026

Państwowa spółka sprzedaje węgiel w super cenie! Ruszyła naj...

6 godzin temu
Tauron ogłasza wielki plan dla Śląska. 25 mld zł i koniec epoki węgla

Tauron ogłasza wielki plan dla Śląska. 25 mld zł i koniec ep...

10 godzin temu
Amator damskiej bielizny złapany na gorącym uczynku w Piotrkowie

Amator damskiej bielizny złapany na gorącym uczynku w Piotrk...

1 dzień temu
Zadyszka rynku pracy w Polsce

Zadyszka rynku pracy w Polsce

1 dzień temu
Plaga kradzieży przy kasach samoobsługowych. Nowa strategia sklepów w walce z oszustami

Plaga kradzieży przy kasach samoobsługowych. Nowa strategia ...

1 dzień temu
Będzie obniżka VAT na paliwa? Minister energii zabrał głos

Będzie obniżka VAT na paliwa? Minister energii zabrał głos

1 dzień temu